CISA alerta sobre a segunda vulnerabilidade do BeyondTrust explorada em ataques

17/01/2025 mindsecblog Notícias 0

CISA alerta sobre a segunda vulnerabilidade do BeyondTrust explorada em ataques. 

Os invasores têm explorado uma segunda vulnerabilidade nas soluções de gerenciamento remoto da BeyondTrust, alerta a CISA.

A agência de segurança cibernética dos EUA, CISA, está pedindo às agências federais que corrijam uma segunda vulnerabilidade nas soluções corporativas BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS), com base em evidências de exploração ativa.

Rastreada como CVE-2024-12686, a falha é um problema de injeção de comando de gravidade média que foi descoberto durante a investigação da BeyondTrust sobre o comprometimento de um número limitado de instâncias RS SaaS de clientes, incluindo uma associada ao Departamento do Tesouro dos EUA.

O ataque ao Tesouro dos EUA foi divulgado em 31 de dezembro e foi atribuído a hackers chineses. O agente de ameaças patrocinado pelo Estado, conhecido como Silk Typhoon, foi supostamente responsável pela intrusão.

No início de dezembro de 2024, a BeyondTrust descobriu que hackers estavam usando uma chave de API comprometida para um serviço de acesso remoto para atingir vários clientes e anunciou que uma vulnerabilidade crítica de dia zero rastreada como CVE-2024-12356 foi identificada durante a investigação.

A CISA adicionou o CVE-2024-12356 à sua lista de Vulnerabilidades Exploradas Conhecidas (KEV) em 19 de dezembro. Na semana passada, a CISA disse que não tinha evidências de que qualquer outra agência, exceto o Tesouro dos EUA, tenha sido comprometida no incidente da BeyondTrust.

Na segunda-feira, a agência de segurança cibernética alertou que o CVE-2024-12686 – o segundo bug da BeyondTrust identificado durante a investigação do incidente de segurança – também foi explorado e o adicionou ao catálogo KEV.

O defeito de segurança “pode ser explorado por um invasor com privilégios administrativos existentes para fazer upload de um arquivo malicioso. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor remoto execute comandos subjacentes do sistema operacional no contexto do usuário do site”, diz a CISA.

Conforme exigido pela Diretiva Operacional Vinculativa (BOD) 22-01, as agências federais têm três semanas para identificar instâncias vulneráveis do BeyondTrust PRA e RS em seus ambientes e aplicar os patches disponíveis. Nesse caso, o prazo é 3 de fevereiro.

Embora o BOD 22-01 se aplique apenas a agências federais, todas as organizações são aconselhadas a revisar a lista KEV da CISA e priorizar a correção das vulnerabilidades que ela contém ou considerar a remoção dos produtos afetados de seus ambientes se a correção não for possível.

Autoridades dos EUA disseram à imprensa nos últimos dias que os ciberespiões chineses visaram vários escritórios do Tesouro dos EUA, incluindo aqueles que lidam com investimentos estrangeiros e sanções.

BeyondTrust Comunicado: BT24-11

Resumo

Foi descoberta uma vulnerabilidade no PRA (Acesso Remoto Privilegiado) e no RS (Suporte Remoto) que pode permitir que um invasor com privilégios administrativos existentes injete comandos e seja executado como usuário do site.

Detalhes

Todas as versões do BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS) contêm uma vulnerabilidade de injeção de comando que pode ser explorada por um usuário com privilégios administrativos existentes para carregar um arquivo mal-intencionado. A exploração bem-sucedida dessa vulnerabilidade pode permitir que um invasor remoto execute comandos subjacentes do sistema operacional no contexto do usuário do site. Esse problema foi corrigido por meio de um patch disponível para todas as versões suportadas do RS e PRA 22.1.x e superior.

Mitigação

Um patch foi aplicado a todos os clientes de nuvem RS/PRA a partir de 16 de dezembro de 2024 que corrige essa vulnerabilidade.
Os clientes locais do RS/PRA devem aplicar esse patch por meio de sua interface /appliance. Se os clientes estiverem em uma versão anterior à 22.1, eles precisarão atualizar para aplicar este patch.

Versões afetadas

ProdutoVersão
Acesso Remoto Privilegiado (PRA)24.3.1 e anteriores
Suporte Remoto (RS)24.3.1 e anteriores

Versões fixas

ProdutoVersão
Acesso Remoto Privilegiado (PRA)Patch
PRA BT24-11-ONPREM1
BT24-11-ONPREM2
BT24-11-ONPREM3
BT24-11-ONPREM4
BT24-11-ONPREM5
BT24-11-ONPREM6
BT24-11-ONPREM7
dependendo da versão do PRA
Suporte Remoto (RS)Patch
RS BT24-11-ONPREM1
BT24-11-ONPREM2
BT24-11-ONPREM3
BT24-11-ONPREM4
BT24-11-ONPREM5
BT24-11-ONPREM6
BT24-11-ONPREM7
dependendo da versão RS

Referências

https://www.cve.org/CVERecord?id=CVE-2024-12686
https://nvd.nist.gov/vuln/detail/CVE-2024-12686

 

Fonte: SecurityWeek  & BeyondTrust

Veja também:

About mindsecblog 2880 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Be the first to comment

Deixe sua opinião!